FixVibe
Covered by FixVibemedium

Seicliosta Slándála API: 12 rud le seiceáil sula dtéann tú beo

Is iad APIanna cnámh droma na bhfeidhmchlár gréasáin nua-aimseartha ach is minic nach mbíonn déine slándála na n-éadanas traidisiúnta in easnamh orthu. Tugann an t-alt taighde seo breac-chuntas ar sheicliosta riachtanach chun APIanna a dhaingniú, ag díriú ar rialú rochtana, teorannú rátaí, agus comhroinnt acmhainní tras-bhunaidh (CORS) chun sáruithe sonraí agus mí-úsáid seirbhíse a chosc.

CWE-285CWE-799CWE-942

Tionchar

Ligeann APIanna i gcontúirt d’ionsaitheoirí comhéadain úsáideora a sheachbhóthar agus idirghníomhú go díreach le bunachair shonraí agus seirbhísí inneall [S1]. D’fhéadfadh dí-scagadh sonraí neamhúdaraithe, táthcheangail cuntais trí bhrúidfhórsa, nó neamh-infhaighteacht seirbhíse a bheith mar thoradh ar ídiú acmhainní [S3][S5] dá bharr.

Fréamhchúis

Is é an bhunchúis phríomha ná nochtadh na loighce inmheánaí trí chríochphointí nach bhfuil dóthain bailíochtaithe agus cosanta iontu [S1]. Is minic a ghlacann forbróirí leis mura bhfuil gné le feiceáil san Chomhéadain, go bhfuil sé slán, rud a fhágann go bhfuil rialuithe rochtana briste [S2] agus beartais cheadaithe CORS a bhfuil muinín acu as an iomarca bunús [S4].

Seicliosta Slándála API Riachtanach

  • Rialú Dian Rochtana a Fhorfheidhmiú: Ní mór do gach críochphointe a fhíorú go bhfuil na ceadanna cuí ag an iarratasóir chun rochtain a fháil ar an acmhainn shainiúil [S2].
  • Teorainn Ráta Cur i bhFeidhm: Cosain in aghaidh mí-úsáide uathoibrithe agus ionsaithe DoS trí theorannú a dhéanamh ar líon na n-iarratas is féidir le cliant a dhéanamh laistigh de fhráma ama sonrach [S3].
  • Cumraigh CORS i gceart: Seachain úsáid a bhaint as bunús saoróg (*) le haghaidh críochphointí fíordheimhnithe. Bunús ceadaithe a shainiú go sainráite chun sceitheadh ​​sonraí tras-láithreáin a chosc [S4].
  • Infheictheacht Críochphointe an Iniúchta: Scan go rialta le haghaidh críochphointí "i bhfolach" nó gan doiciméadú a d'fhéadfadh feidhmiúlacht íogair a nochtadh [S1].

Conas a thástálann FixVibe é

Clúdaíonn FixVibe an seicliosta seo anois trí sheiceálacha beo iolracha. Srianadh ráta críochphointe an údair tástála tóireadóirí gníomhacha, CORS, CSRF, instealladh SQL, laigí sreafa an údair, agus saincheisteanna eile a bhaineann le API amháin tar éis an fhíoraithe. Déanann seiceálacha éighníomhacha iniúchadh ar cheanntásca slándála, doiciméadú poiblí API agus nochtadh OpenAPI, agus rúin i mbearta cliant. Cuireann scananna Repo athbhreithniú riosca ar leibhéal an chóid le haghaidh CORS neamhshábháilte, idirshuíomh amh SQL, rúin lag JWT, úsáid JWT díchódaithe amháin, bearnaí sínithe gréasáin, agus saincheisteanna spleáchais.